Уязвимость бесконечного минта: Axelar потерял $4,67 млн в результате взлома моста с Secret Network

19 июня блокчейн-проект Axelar раскрыл факт взлома моста, соединяющего его инфраструктуру с протоколом Secret Network. Злоумышленник вывел около $4,67 млн, воспользовавшись критической уязвимостью «бесконечного минта» в смарт-контракте. Кража оставалась незамеченной на протяжении семи дней, что указывает на серьезные пробелы в системе мониторинга обеих сетей.
Баг был обнаружен в модифицированном контракте CW20-ICS20 на стороне Secret, работающем в Cosmos IBC-соединении. Алгоритм создавал «обернутые» версии активов (saToken), но не проверял, из какого канала поступала входящая транзакция. Это позволило атакующему сфальсифицировать депозиты и выпускать токены без какого-либо обеспечения. Проще говоря, хакер запустил в Cosmos собственную цепочку с одним валидатором, откуда пересылал пакеты с фиктивными номиналами активов, обманывая мост. Такой вектор атаки — классический пример недостаточной валидации межсетевых сообщений, который мы неоднократно наблюдали в других инцидентах.
Комитет по чрезвычайным ситуациям Axelar оперативно отключил соединения Secret и Secret-SNIP, чтобы остановить новые несанкционированные переводы. Команда координирует действия с биржами и правоохранительными органами для отслеживания средств и содействия их возврату. Согласно заявлению, инцидент ограничен монетами saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB и sawstETH. Основной протокол Axelar, другие IBC-соединения и нативные активы Secret Network не затронуты.
Несмотря на сообщение о краже, цена токена Secret (SCRT) в моменте подскочила почти на 6%, достигнув $0,06. После коррекции актив торгуется в районе $0,058, сохраняя суточный рост около 3%. Капитализация составляет ~$20 млн. При этом на историческом максимуме в октябре 2021 года SCRT стоил $10,64, что на 99,5% превышает текущие котировки. Такая реакция рынка показывает, что инвесторы пока не воспринимают этот инцидент как фатальный для проекта, хотя доверие к мостам остается крайне хрупким.
Аналитический комментарий: Этот взлом — очередное напоминание о том, что межсетевые мосты остаются самой уязвимой точкой в экосистеме DeFi. Уязвимость «бесконечного минта» в контракте ICS-20 — это не новая техника, а скорее результат небрежного аудита или устаревшей реализации. На мой взгляд, индустрии срочно нужны стандартизированные протоколы безопасности для IBC-соединений, иначе такие инциденты будут повторяться с пугающей регулярностью.